As políticas de firewall permitem agrupar várias regras de firewall para que você possa atualizá-las de uma só vez, efetivamente controladas pelos papéis do Identity and Access Management (IAM). Essas políticas contêm regras que podem negar ou permitir conexões explicitamente, assim como as regras de firewall da nuvem privada virtual (VPC).
Políticas de firewall hierárquicas
As políticas hierárquicas de firewall permitem agrupar regras em um objeto de política que pode ser aplicado a muitas redes VPC em um ou mais projetos. É possível associar políticas de firewall hierárquicas a uma organização inteira ou pastas individuais.
Veja detalhes e especificações da política de firewall hierárquica em Políticas de firewall hierárquicas.
Políticas globais de firewall de rede
As políticas de firewall da rede global permitem agrupar regras em um objeto de política aplicável a todas as regiões (global). Depois de associar uma política de firewall de rede global a uma rede VPC, as regras na política podem ser aplicadas a recursos na rede VPC.
Veja detalhes e especificações da política de firewall de rede global em Políticas de firewall de rede global.
Políticas de firewall da rede regional
As políticas de firewall da rede regional permitem agrupar regras em um objeto de política aplicável a uma região específica. Depois de associar uma política de firewall da rede regional a uma rede VPC, as regras na política podem ser aplicadas aos recursos nessa região da rede VPC.
Veja detalhes e especificações da política de firewall regional em Políticas de firewall de rede regionais.
Ordem da política e da avaliação de regras
Regras em políticas hierárquicas de firewall, políticas globais de firewall de rede, políticas de firewall de rede regional e regras de firewall VPC são implementadas como parte do processamento de pacote de VM da pilha de virtualização de rede Andromeda As regras são avaliadas para cada interface de rede (NIC) da VM.
A aplicabilidade de uma regra não depende da especificidade da configuração de protocolos e portas. Por exemplo, uma regra de permissão de prioridade mais alta para todos os protocolos tem precedência sobre uma regra de negação de prioridade mais baixa específica para a porta 22 TCP
.
Além disso, a aplicabilidade de uma regra não depende da especificidade do parâmetro de destino. Por exemplo, uma regra de permissão de prioridade mais alta para todas as VMs (todas as metas) tem precedência, mesmo que exista uma regra de negação de prioridade mais baixa com um parâmetro de meta mais específico. por exemplo, uma conta de serviço ou tag específica.
Determinar a ordem de avaliação de regras e políticas
A ordem em que as regras da política de firewall e
da VPC são avaliadas é determinada pela flag
networkFirewallPolicyEnforcementOrder
da rede VPC anexada à placa de rede da VM.
A flag networkFirewallPolicyEnforcementOrder
pode ter estes dois
valores:
BEFORE_CLASSIC_FIREWALL
: se você definir a flag comoBEFORE_CLASSIC_FIREWALL
, as políticas de firewall de rede globais e regionais serão avaliadas antes das regras de firewall da VPC em ordem de avaliação da regra.AFTER_CLASSIC_FIREWALL
: se você definir a flag comoAFTER_CLASSIC_FIREWALL
, as políticas de firewall de rede globais e regionais serão avaliadas após as regras de firewall da VPC na ordem de avaliação da regra.AFTER_CLASSIC_FIREWALL
é o valor padrão da flagnetworkFirewallPolicyEnforcementOrder
.
Para alterar a ordem de avaliação da regra, consulte Alterar a política e a ordem de avaliação de regras.
Ordem de avaliação de regras e políticas padrão
Por padrão, e quando o networkFirewallPolicyEnforcementOrder
da
rede VPC anexada à placa de rede da VM for AFTER_CLASSIC_FIREWALL
,
o Google Cloud avaliará as regras aplicáveis a essa placa na seguinte
ordem:
Se uma política hierárquica de firewall estiver associada à organização que contém o projeto da VM, o Google Cloud avaliará todas as regras aplicáveis na política hierárquica de firewall. Como as regras nas políticas hierárquicas de firewall precisam ser únicas, a regra de prioridade mais alta que corresponde à direção do tráfego e às características da camada 4 determina como o tráfego é processado:
A regra pode permitir o tráfego. O processo de avaliação será interrompido.
A regra pode negar o tráfego. O processo de avaliação será interrompido.
A regra pode enviar o tráfego para a inspeção da camada 7 (
apply_security_profile_group
) para o endpoint de firewall. A decisão de permitir ou descartar o pacote depende do endpoint do firewall e do perfil de segurança configurado. Em ambos os casos, o processo de avaliação da regra é interrompido.Se algum dos itens a seguir for verdadeiro, a regra poderá permitir o processamento de regras definidas conforme descrito nas próximas etapas:
- Uma regra com uma ação
goto_next
corresponde ao tráfego. - Nenhuma regra corresponde ao tráfego. Nesse caso, é aplicada uma regra
goto_next
implícita.
- Uma regra com uma ação
Se uma política hierárquica de firewall estiver associada ao ancestral de pasta mais distante (principal) do projeto da VM, o Google Cloud avaliará todas as regras aplicáveis na política hierárquica de firewall dessa pasta. Como as regras nas políticas hierárquicas de firewall precisam ser únicas, a regra de prioridade mais alta que corresponde à direção do tráfego e às características da camada 4 determina como o tráfego é processado:
allow
,deny
, ,apply_security_profile_group
, ougoto_next
, conforme descrito na primeira etapa.O Google Cloud repete as ações da etapa anterior para uma política hierárquica de firewall associada à próxima pasta, que está mais próximo do projeto da VM na hierarquia de recursos. Primeiro, o Google Cloud avalia regras em políticas hierárquicas de firewall associadas ao ancestral de pasta mais distante (mais próximo da organização) e depois avalia as regras em políticas hierárquicas de firewall associadas à próxima pasta (filho) para o projeto da VM.
Se houver regras de firewall da VPC na rede VPC usada pela NIC da VM, o Google Cloud avaliará todas as regras de firewall da VPC aplicáveis.
Ao contrário das regras nas políticas de firewall:
As regras de firewall da VPC não têm uma ação
goto_next
ouapply_security_profile_group
explícita. Uma regra de firewall da VPC só pode ser configurada para permitir ou negar tráfego.Duas ou mais regras de firewall da VPC em uma rede VPC podem compartilhar o mesmo número de prioridade. Nessa situação, as regras de negação têm precedência sobre as regras de permissão. Para mais detalhes sobre a prioridade das regras de firewall da VPC, consulte Prioridade na documentação das regras de firewall da VPC.
Se nenhuma regra de firewall da VPC se aplicar ao tráfego, o Google Cloud seguirá para a próxima etapa:
goto_next
.Se uma política de firewall de rede global estiver associada à rede VPC da NIC da VM, o Google Cloud avaliará todas as regras aplicáveis na política de firewall. Como as regras nas políticas de firewall precisam ser únicas, a regra de prioridade mais alta que corresponde à direção do tráfego e às características da camada 4 determina como o tráfego é processado:
allow
,deny
, ,apply_security_profile_group
, ougoto_next
, conforme descrito na primeira etapa.Se uma política de firewall de rede regional estiver associada à rede VPC da NIC da VM e à região da VM, o Google Cloud avaliará todas as regras aplicáveis na política de firewall. Como as regras nas políticas de firewall precisam ser únicas, a regra de prioridade mais alta que corresponde à direção do tráfego e às características da camada 4 determina como o tráfego é processado:
allow
,deny
ougoto_next
conforme descrito na primeira etapa.Como etapa final da avaliação, o Google Cloud aplica as regras de firewall implícitas de saída e de negação de entrada implícitas.
O diagrama a seguir mostra o fluxo de resolução para regras de firewall.
Alterar a política e a ordem de avaliação da regra
O Google Cloud oferece a opção de alterar o processo padrão de avaliação de regras, trocando a ordem das regras de firewall de VPC e das políticas de firewall de rede (global e regional). Quando você faz essa troca, a política de firewall de rede global (etapa 5) e a política de firewall de rede regional (etapa 6) são avaliadas antes das regras de firewall de VPC (etapa 4) na ordem de avaliação de regra.
Se você quiser alterar a ordem de avaliação da regra, execute o seguinte comando para definir o
atributo networkFirewallPolicyEnforcementOrder
da
rede VPC como BEFORE_CLASSIC_FIREWALL
:
gcloud compute networks update VPC-NETWORK-NAME \ --network-firewall-policy-enforcement-order BEFORE_CLASSIC_FIREWALL
Para mais informações, consulte o método networks.patch
.
Regras de firewall eficazes
As regras da política hierárquica de firewall, as regras de firewall da VPC e as regras de política de firewall de rede global e regional controlam as conexões. Pode ser útil ver todas as regras de firewall que afetam uma rede ou interface de VM individual.
Regras de firewall eficazes da rede
É possível visualizar todas as regras de firewall aplicadas a uma rede VPC. A lista inclui todos os tipos de regras a seguir:
- Regras herdadas de políticas hierárquicas de firewall
- Regras de firewall da VPC
- Regras aplicadas pelas políticas de firewall da rede global e regional
Regras de firewall efetivas da instância
É possível ver todas as regras de firewall aplicadas à interface de rede de uma VM. A lista inclui todos os tipos de regras a seguir:
- Regras herdadas de políticas hierárquicas de firewall
- Regras aplicadas pelo firewall da VPC da interface
- Regras aplicadas pelas políticas de firewall da rede global e regional
As regras são ordenadas do nível da organização até as regras da VPC. Somente as regras que se aplicam à interface da VM são mostradas. As regras em outras políticas não são mostradas.
Para ver as regras de política de firewall vigentes em uma região, consulte Receber políticas eficazes de firewall regional para uma rede.
Regras predefinidas
Quando você cria uma política de firewall hierárquica, de rede global ou regional, o Cloud NGFW adiciona regras predefinidas à política. As regras predefinidas que o Cloud NGFW adiciona à política dependem de como você cria a política.
Se você criar uma política de firewall usando o console do Google Cloud, o Cloud NGFW adicionará as seguintes regras à nova política:
- Regras "Goto-next" para intervalos IPv4 particulares
- Regras de negação predefinidas da Inteligência do Google contra ameaças
- Regras de negação de localização geográfica predefinidas
- Regras para ir para a próxima prioridade com a menor prioridade possível
Se você criar uma política de firewall usando a CLI do Google Cloud ou a API, o Cloud NGFW adicionará apenas as regras goto-next de prioridade mais baixa possível à política.
Todas as regras predefinidas em uma nova política de firewall usam prioridades baixas (números de prioridade grandes) para que você possa substituí-las criando regras com prioridades mais altas. Exceto pelas regras goto-next com a menor prioridade possível, também é possível personalizar as regras predefinidas.
Regras "Goto-next" para intervalos IPv4 particulares
Uma regra de saída com intervalos IPv4 de destino
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
, prioridade1000
e açãogoto_next
.Uma regra de entrada com intervalos IPv4 de origem
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
, prioridade1001
e açãogoto_next
.
Regras de negação predefinidas do Google Threat Intelligence
Uma regra de entrada com a lista de inteligência contra ameaças do Google de origem
iplist-tor-exit-nodes
, prioridade1002
e açãodeny
.Uma regra de entrada com a lista de inteligência contra ameaças do Google de origem
iplist-known-malicious-ips
, prioridade1003
e açãodeny
.Uma regra de saída com a lista de inteligência contra ameaças do Google de destino
iplist-known-malicious-ips
, prioridade1004
e açãodeny
.
Para saber mais sobre a Threat Intelligence do Google, consulte Threat Intelligence do Google para regras de política de firewall.
Regras de negação de localização geográfica predefinidas
- Uma regra de entrada com a origem correspondente aos locais geográficos
CU
,IR
,KP
,SY
,XC
eXD
, prioridade1005
e açãodeny
.
Para saber mais sobre localizações geográficas, consulte Objetos de geolocalização.
Regras goto-next com a menor prioridade possível
Não é possível modificar ou excluir as seguintes regras:
Uma regra de saída com o intervalo IPv6 de destino
::/0
, prioridade2147483644
e açãogoto_next
.Uma regra de entrada com intervalo IPv6 de origem
::/0
, prioridade2147483645
e açãogoto_next
.Uma regra de saída com o intervalo IPv4 de destino
0.0.0.0/0
, prioridade2147483646
e açãogoto_next
.Uma regra de entrada com o intervalo IPv4 de origem
0.0.0.0/0
, prioridade2147483647
e açãogoto_next
.
A seguir
- Para criar e modificar políticas e regras hierárquicas de firewall, consulte Como usar políticas hierárquicas de firewall.
- Para ver exemplos de implementações de políticas hierárquicas de firewall, consulte Exemplos de políticas hierárquicas de firewall.
- Para criar e modificar políticas e regras de firewall de rede global, consulte Usar políticas de firewall de rede.
- Para criar e modificar políticas e regras de firewall de rede regional, consulte Usar políticas de firewall de rede regional.